|
|
|
|
| ARP病毒原理与防御措施 |
RARP的工作原理:
1. 发送主机发送一个本地的RARP广播,在此广播包中,声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址;
2. 本地网段上的RARP服务器收到此请求后,检查其RARP列表,查找该MAC地址对应的IP地址;
3. 如果存在,RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用;
4. 如果不存在,RARP服务器对此不做任何的响应;
5. 源主机收到从RARP服务器的响应信息,就利用得到的IP地址进行通讯;如果一直没有收到RARP服务器的响应信息,表示初始化失败。
6.如果在第1-3中被ARP病毒攻击,则服务器做出的反映就会被占用,源主机同样得不到RARP服务器的响应信息,此时并不是服务器没有响应而是服务器返回的源主机的IP被占用。
7.与以前的一样的是,该类ARP病毒也是向全网发送伪造的ARP欺骗广播,自身伪装成网关。但区别是,它着重的不是对网络数据包的解密,而是对于HTTP请求访问的修改。HTTP是应用层的协议,主要是用于WEB网页访问。还是以上面的局域网环境举例,如果局域网中一台电脑S要请求某个网站页面,如想请求idcbest.com这个网页,这台电脑会先向网关发送HTTP请求,说:“我想登陆idcbest.com网页,请你将这个网页下载下来,并发送给我。”这样,网关就会将idcbest.com页面下载下来,并发送给S电脑。这时,如果A这台电脑通过向全网发送伪造的ARP欺骗广播,自身伪装成网关,成为一台ARP中毒电脑的话,这样当S电脑请求WEB网页时,A电脑先是“好心好意”地将这个页面下载下来,然后发送给S电脑,但是它在返回给S电脑时,会向其中插入恶意网址连接!该恶意网址连接会利用MS06-014和MS07-017等多种系统漏洞,向S电脑种植木马病毒!同样,如果D电脑也是请求WEB页面访问,A电脑同样也会给D电脑返回带毒的网页,这样,如果一个局域网中存在这样的ARP病毒电脑的话,顷刻间,整个网段的电脑将会全部中毒!沦为黑客手中的僵尸电脑!
防范措施:
由于ARP漏洞是协议的漏洞,不隶属于某个操作系统,所以很难进行防御。
Windows下的措施
arp –s意味着什么?
Arp –s 222.27.192.254 00-d0-f8-e3-ba-e9
建议将此命令做成一个批处理,然后放进启动项目里面,这样每次开机会系统会自动绑定。
安装arp防火墙 (360的ARP防火墙不安全)
Linux下的措施 (正在研究中)
编辑/etc/ethers
Arp –f
这种静态绑定在DHCP环境下无法工作!
|
|
|
|
|
